攻撃者が不正なWebサイトをセキュリティベンダから隠す手法とは(トレンドマイクロ)

2013年9月24日(火) 08時00分
このエントリーをはてなブックマークに追加
セキュリティベンダによるクローリングの回避方法の画像
セキュリティベンダによるクローリングの回避方法
トレンドマイクロ株式会社は9月19日、攻撃者がエクスプロイトキットを仕掛けたWebサイトを、セキュリティベンダや関係者からどのように逃れているのかを同社ブログで解説している。攻撃者たちが利用するもっとも基本的な手法は、IPアドレスのブラックリスト化となっている。セキュリティベンダは、スパムメールの送信や不正なWebサイトのホスト先、収集された情報の受信に利用される広範なIPアドレスをブラックリスト化している。それと同様に、攻撃者たちもセキュリティベンダによって使用されると思われるIPアドレスのリストを持っており、それらのアドレスからのすべての接続をブロックする。

また、より巧妙な手法に「与えられた IPアドレスには一度きりしか接続させない」というものがある。セキュリティベンダは、特定の攻撃に関わるWebサイトのリストを持っていると仮定する。セキュリティベンダやセキュリティ関係者たちが手動もしくは自動化されたツールを使用してこのリスト内ひとつのWebサイトにアクセスすると、攻撃者はセキュリティベンダの使用するIPアドレスが攻撃に関わったWebサイトに接続したことを自らのバックエンドのデータベースに記録する。そして、セキュリティベンダや各関係者たちが他のWebサイトへ接続しようとすると、Webサイトはバックエンドのデータベースの記録を照会し、セキュリティベンダは不正なコンテンツに接続することができなくなる。

このようなバックエンドのデータベースは、「ダイナミック DNS(DDNS)」のサービスとともに利用されることもある。攻撃者たちは、DDNSのサービスを利用して大量のランダムなURLを動的に生成することにより、何者かがアクセスしているURLを数分以内にアクセスできない状態にすることが可能になる。こういった手法は、さまざまな面にわたってエクスプロイトキットにより利用されている。その典型的な手法のひとつ「infect once」では、「BlackHole Exploit kit(BHEK)」の両バージョン(1.x および 2.x)だけでなくエクスプロイトキット「Styx」および「CoolKit」にも利用されている。
《吉澤 亨史》

注目ニュース

icon
「ウイルスバスター」を刷新、新製品、新サービスも追加(トレンドマイクロ)

トレンドマイクロは、「デバイスプロテクション」「データアクセス」「ダウンロードアプリ」の3つの「D」のセキュリティと使い勝手を両立させる、コンシューマを対象とする「3D戦略」に基づいた4つの新製品・サー...

icon
「WhatsApp」の通知を装うスパムメールを確認、標的はモバイル端末(トレンドマイクロ)

トレンドマイクロは、新たな手法を利用したモバイルの脅威を確認したと同社ブログで発表した。

icon
「許可されていないファイル共有ツール」を従業員の約3割が使用(トレンドマイクロ)

トレンドマイクロは、「勤務先における業務ファイル共有実態調査」の結果を発表した。

icon
「プロモーション用イベントの一環として、無料で新作のiPhoneの配布を行う」というスパムメールが流通(トレンドマイクロ)

 トレンドマイクロは12日、アップルの新製品「iPhone 5s/5c」に便乗するフィッシングメールが確認されたことを公表した。「プロモーション用イベントの一環として、無料で新作のiPhoneの配布を行う」というスパ...

icon
5万件以上ダウンロードされた「偽Flash Player」(トレンドマイクロ)

トレンドマイクロは、「Google Play」上で9月4日前後から「Adobe Flash Player」の名称を偽装する不審なアプリが公開されていたことを確認したとブログで発表した。

RSS

特集・連載

ピックアップフォト